Roman(tic) (infist_xxi) wrote,
Roman(tic)
infist_xxi

Они идут

Вы еще не пользуетесь антифирусной защитой с полным контролем веб-трафика и электронной почты? Вы надеетесь что то, что вы не лазеете по варезным сайтам и не открываете незнакомые вложения вас спасет? Вы считаете что проверка файловым антивирус раз в полгода - это достаточное решение всех проблем?
Вы не пользуетесь узлом Windows Update потому что у вас пиратская копия винды или потому что просто влом?



Зачин:
Спокойно проверял свободные домены на интересующую тему. Один из доменов (к сожалению забыл какой, а вспоминать пробовать опять нет никакого желания) оказался занят и я решил посмотреть что за проект там висит. Открываю и... вижу страничку с информацией как пользоваться хостингом (ну видимо хостинг открыли а свои файлы не закинули) и чуйствую что страничке то пора уже закончить загружаться, а курсорчек "крутится". И винт стал шуршать невмеру активно. Я в диспетчер задач - а там уже гостя, бля! И окошко вылетает, типа какая-то ошибка - все идут нахуй а система в ребут! И перезагрузка.

Ситуация:
После перезагрузки стандартный рабочий стол меняет свой вид, меняют вид папки и панель инструментов. Не открываются некоторые критичные системные функции типа редактора реестра (он то открывается, но редактировать не дает), восстановления системы, расширенно списка сервисов и их свойст в админке ну и еще по мелочи. Да, панель задач ваще не работает :) Ну это особо сильно не пугает, ибо знаем, плавали... Но когда я вижу что диск D в проводнике девственно чист - меня охватывает легкая паника! Тыкаю на "мои документы" (они тоже на D) - открылись! Ага... значит урод маскируется, но даные целы.

Фигня! Открываю FAR, лезу в системные файлы, смотрю че там насоздавалось нового и убиваю все что можно. Некоторые, конечно, не убиваются. Фигня, загружаюсь с Recovery CD -> FAR -> еще раз все почистить ручками и опять загружаюсь нормально. Хуй! Часть, пришельцев была убита но самая глубокоокопавшаяся гадость осталась жива. Эксплорер работает криво, некоторые страницы блокируются, ну ниче... качаем новые базы AVP и опять гружусь с диска, обновляю базы, полный скан компа. Нашел много гадости и убил. Восстановил svchost.exe из дистриба (это важно!!!). Ребут. А тут все тот же хуй!

"Аха, - сказали мужики...". Ладно, если высокоинтеллектуальные антивирусы не справляются будем пользоваться головой и подручными средстави, а именно утилкой AVZ. Короче писать много не буду, но результат следующий. Утила ниче не нашла, но показала что грузится некий сервис FCI со странным загрузочным файлом "svchost:ext.exe". Так как часть пришельцев я поубивал то реестр подправить я смог. Сервис отключил. Ребут. Хуй, блять! Вобщем очередная загрузка с CD, сканирование AVP потом AVZ чтобы убить все незамаскированные копии, очередная замена svchost.exe наконец то привела к ожидаемому результату.

Итого:
1. Современные трояны с использованием руткит-технологий типа полной маскировки в системе (ни один антируткит не смог выцапать этот сервис!!!) и использования альтернативных файловых потоков NTFS для маскировки вирусного кода класть хотели на антивирусы если им дать вндриться в систему.
2. Дрянь можно подхватить где угодно!
3. Продемонстрированные танцы с бубном по выкорчевыванию заразы, к сожалению, доступны далеко не всем пользователям.
4. Если начинаешь чистку, делать это надо тщательно! А то остатки неполностью убитого руткита спокойно положат вам систему в синий экран (тоже с такими вещами сталкивался когда убивал руткит, маскирующийся под драйвер CD-ROMа через анализ логов загрузки и консоль востановления).
5. Профилактика рулит!
6. Лицензионное ПО (системное) и своевременные обновления тоже рулят!

PS
С удовольствием начистил бы ебальник аффтару этого вирусного шедевра!

UPDATE
Нашел описание заразы http://www.ittega.ru/node/26554
Странно что у меня AVZ так не реагировал, видимо я сильно покоцал вирус когда с ним боролся :)

Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 4 comments